Crea un plan de acción contra ataques DDoS

En mi carrera me han preguntado cómo responder a un ataque DDoS. ¿Qué hacer? ¿A quién llamas? ¿Los cazafantasmas? ¿Cuáles son las opciones?

Si tú haces negocios significa que dependen de Internet de alguna manera, aunque sólo sea por correo electrónico. Determinar si tú está siendo víctima de un ataque no siempre es fácil porque muchos de los compromisos no dejan rastro. Sin embargo, DDoS o ataque distribuido de denegación de servicio son del tipo de ataque que te lo dicen directo en la cara.  Es curioso, que los ataques de DDoS puede acabar con el internet de muchas organizaciones y los especialistas aún se rascan la cabeza y se preguntan qué es lo que está pasando con el trafico de su red, además que, para rematar ha habido un aumento en este tipo de ataques en los últimos años. Los ataques DDoS son comunes, los malhechores suelen usar las computadoras que están infectadas por un virus o una BotNet que actualmente se han convertido en condominios. Cualquier persona puede alquilar una BotNEt para realizar un gran ataque DDoS y pagar por ello con una tarjeta de crédito (Incluso una tarjeta de crédito robada). El cliente de DDoS que envía el tráfico de ataques es un programa liviano simple que es fácilmente disponible en línea. Los Hacktivistas han desplegado varias herramientas, bien hechas, de DDoS a sus legiones para usar contra sus objetivos.

Si estás siendo atacado con un ataque DDoS en un blanco (un servidor web, servidor de correo, Servidor DNS) o incluso partes de una aplicación, se reduce la velocidad y evita su uso. El ataque de DDoS que no detiene un servicio durante un período prolongado o impacta durante un marco de tiempo los negocios, no es un ataque exitoso. Si no hay impacto en los negocios, entonces no es un éxito.

Supón que tu está en la línea de fuego de un ataque a gran escala, sus servidores DNS están abajo, el enlace de su proveedor de servicios está al 100% de uso, el PPS de los routers están por las nubes. Te dices a ti mismo: “Creo que estamos siendo víctimas de un DDoS ¿Y ahora qué hago?”

Estoy asumiendo que tu no tiene un servicio de mitigación de DDoS, si es así, todos los problemas deben desaparecer. Por lo tanto, esto es lo que tiene que hacer, de acuerdo al siguiente orden:

Definir el alcance del ataque: ¿Qué exactamente está siendo atacado? ¿Servicios web, correo, DNS, toda la red? Normalmente, esto se logra verificando en su Network Management System (NMS) para ver qué dispositivos están llegando al límite en la CPU / Memoria / Red. Si no tienes un NMS debes verificar cada equipo individualmente. Si el ataque es contra los servicios web por lo general es evidente porque la página web deja de funcionar y se obtiene un error de tiempo de espera. Si sus servicios son basados en la nube o alojado en ella, debes obtener el teléfono tu proveedor de servicios y averiguar lo que están viendo, es casi seguro que tienen un NMS sofisticado que hará el ataque visible.

Mitigar el ataque lo mejor que pueda: Para ello, activa todas las opciones de DDoS en tu equipo de red. La mayoría de los routers, switches, servidores proxy y firewalls vienen con opciones limitadas de filtrado DDoS. Busque las tendencias evidentes en el tráfico de ataques, como el IP de origen o subred. Por diseño, el ataques viene hacia ti desde todos los rincones del Internet y agregar ese tipo de filtrado es un poco más que difícil. Llama a tu proveedor de servicios para ver si tienen la capacidad para filtrar el tráfico con destino a su red, lo que es posible que tengas que pagar. Lamentablemente, si el volumen de ataque es grande entonces el tráfico de la DDoS abrumará a la red de tu proveedor de servicios. En esencia, esto causará daños colaterales a la red y a otros clientes que tienen la mala suerte de estar lógicamente en la infraestructura de servicios del mismo proveedor. Lo que harán a continuación es un agujero negro de tu ruta, esencialmente es el enrutamiento de todo el tráfico destinado a su red para dev/null. Una vez que vayas a dev/null,  ya no te volverás a ver en la red (al menos durante el ataque).

Llamen a un experto: Si tú tienes una relación existente con una empresa de consultoría informática, pues llamen de inmediato y ver si se puede apuntar en la dirección correcta. Un guardia de seguridad de la red será capaz de ayudar a dirigir la mitigación, hacer las preguntas correctas a sus proveedores de servicios, ayudar a recoger los pedazos y proporcionar después un informe con las posibles mejoras para detener un ataque la próxima vez. Espera una buena factura por alrededor de $ 250/hora (en mi caso libre de impuestos, jajaja).

Llama a la policía: No llame a la policía para pedir ayuda, sólo para denunciar el delito. Han demostrar el menor interés para ayudarles con el problema, a pesar de que está en contra de la ley que alguien haga DDoS (solo en algunos países). A menos que seas Amazon, o un gran nombre, no esperes que nadie esté tan preocupado en la aplicación de la ley por tu ataque como tú. La aplicación de la ley tiende a ser muy por detrás de la curva de potencia a la hora de hacer frente eficazmente a todos los delitos cibernéticos. No llames al número de emergencia de la policía local. Esperen un montón de preguntas porque la policía, por lo general, no se ocupan de estas cosas, ni tampoco tiene ninguna experiencia. Esperen que alguien haga un informe, pero no esperes que nadie salga a cazar a los malos y arrestarlos. Una palabra de precaución: Revisen las leyes de divulgación locales; una vez que los policías saben, entonces hay una posibilidad de que el mundo entero lo sepa.

Post facto. Después del ataque, a continuación, averiguar el quién, qué y por qué. Considera la posibilidad de probabilidades frente a beneficios para considerar las estrategias de mitigación. Algunas organizaciones son más propensas a los ataques DDoS  y a algunas organizaciones le pueden hacer daño que a las demás. Pregúntate a ti mismo, ¿esta es una industria de alto riesgo? Los derechos digitales, propiedad intelectual, el gobierno o las afiliaciones políticas, los juegos, el juego o entretenimiento para adultos; son temas de riesgo más alto.

¿Su negocio depende de estar el 100% del tiempo en línea o se pierde dinero?, Juegos de Azar, banco, comercio electrónico B2C o B2B; estas industrias son susceptibles a las extorsiones (paga o recibe DDoS). Si la probabilidad de otro ataque es baja y la consecuencia para negocio es baja, planifique su estrategia de mitigación y el presupuesto con eso en mente. Si la probabilidad es alta y la consecuencia es alta, haga igualmente.

Debemos desarrollar los procesos y procedimientos para hacer frente a estas cosas por lo que no tenemos que inventar un plan durante el problema. Considera la posibilidad de modificaciones de infraestructura para limitar la profundidad y el daño de un ataque DDoS, considere un servicio DDoS, y actualizar su plan de Continuidad del Negocio. Plan, plan, plan.

Este artículo esta basado en el artículo de www.securityweek.com titulado “Creating a DDoS Attack Action Plan“